| Okuma Süresi: 2 Dakika

ENERJİ SEKTÖRÜNDE KULLANILAN ENDÜSTRİYEL KONTROL SİSTEMLERİNDE BİLİŞİM GÜVENLİĞİ YÖNETMELİĞİ

STJ. AV. SEDA ARICI

Enerji Piyasası Düzenleme Kurumu tarafından hazırlanan “ENERJİ SEKTÖRÜNDE KULLANILAN ENDÜSTRİYEL KONTROL SİSTEMLERİNDE BİLİŞİM GÜVENLİĞİ YÖNETMELİĞİ” 13.7.2017 tarih ve 30123 sayılı Resmî Gazetede yayımlanmıştır. İşbu Yönetmelik “kritik enerji altyapılarında kullanılan endüstriyel kontrol sistemlerinin (EKS) bilişim süreçlerinin izlenmesi, sistem sürekliliğinin sağlanması ve siber güvenliğin sağlanmasına ilişkin usul ve esasları düzenlemek” amacı ile hazırlanmış olup, yayım tarihinden itibaren 2 ay sonra yürürlüğe girecektir. Enerji piyasasında faaliyet gösteren ve EPDK tarafından kritik altyapı olarak belirlenen yükümlü kuruluşların EKS’lerinde kullanılan bilişim sistemlerinin güvenliği ve güvenilirliğinin sağlanması için risklerin değerlendirilerek azaltılması veya ortadan kaldırılmasına uygulanacak usul ve esaslar, Yönetmelik kapsamındadır.

Yönetmelik’in konusunu oluşturan EKS, Yönetmelik’te şu şekilde tanımlanmıştır: “Endüstriyel Kontrol Sistemi (EKS): Enerjinin üretilmesi, enerji sağlayan ham petrol, taş kömürü ve benzeri hammaddelerin işlenip tüketime hazır hale getirilmesi, enerjinin iletim veya dağıtım katmanları aracılığı ile aktarılması gibi süreçlerin bir veya birden fazla merkezden izlenmesini, bazen de yönetilmesini sağlayan, kendisi ve/veya bileşenleri bilinen işletim sistemleri üzerinde koşan ya da bilinen zafiyetleri bulunan özel işletim sistemine sahip yönetim ve kontrol sistemlerini (Veri Tabanlı Kontrol ve Gözetleme Sistemi “SCADA”, Dağıtılmış Kontrol Sistemi “DKS”, Gelişmiş Süreç Kontrol Sistemi “APC”, Programlanabilir Mantık Kontrolcüsü “PLC”, Uzak Terminal Ünitesi (RTU) vb.)”. Bununla birlikte, “Kritik Enerji Altyapısı” ise, işlevlerini kısmen veya tamamen, yerine getiremediğinde, toplumsal düzenin sürdürülebilirliğinin ve/veya kamu hizmetlerinin sunumunun olumsuz etkileneceği enerji ağı, varlığı, sistemi ve yapıları bütününü oluşturmaktadır.

 

Yönetmeliğin uygulanması bakımından belli başlı ilkeler esas alınmıştır. Şöyle ki;

*Hizmet kalitesinin yükseltilmesi ve enerji arzının sürekliliğinin sağlanması,

*Ulusal düzenleme ile ulusal ve/veya uluslararası standartların dikkate alınması,

*Kaynakların düzenli, şeffaf ve etkin kullanımının sağlanması,

*Lisans sahibi tüzel kişilerin bu Yönetmelik kapsamında EKS bilişim güvenlik önlemlerini almalarının ve uygulamalarının temini,

*Enerji zincirindeki kritik sistemlerin tehdit ve zafiyetlere karşı güvenliğinin arttırılması.

 

Yönetmelik çerçevesinde tanımlanan sorumlu tüzel kişiler, elektrik iletim lisansı sahibi ve OSB dağıtım lisansı sahipleri hariç olmak üzere elektrik dağıtım lisansı sahibi, OSB üretim lisansı sahibi hariç olmak üzere geçici kabulü yapılmış ve işletmedeki kurulu gücü 100 MWe ve üzeri lisansa sahip her bir elektrik üretim tesisi sahibi, boru hattı ile iletim yapan doğal gaz iletim lisansı sahibi, sevkiyat kontrol merkezi kurmakla yükümlü doğal gaz dağıtım lisansı sahibi, doğal gaz depolama lisansı sahibi, ham petrol iletim lisansı sahibi ile rafinerici lisansı sahipleridir.

Risk yönetimi ile yükümlü kuruluşların EKS’lere yönelik risklerinin tespiti için yaptırdıkları güven analizi ve testlerinin usul ve esaslarını Kurul belirleyecek olup, risk envanterine eklenecek olan riskler yükümlü kuruluşların kendi EKS’leri dikkate alınarak değerlendirilecektir. Risklerin değerlendirilmesi üzerine, normal ve üstü seviyede bulunan riskler, risk işlemeye tabi tutulup risk azaltmaya yönelik aksiyonlar planlanacaktır. Kurum’un belirlediği risklerin yanı sıra, yükümlü kuruluşlar kendi faaliyetleri neticesinde belirledikleri de değerlendireceklerdir.

 

Risklerin işlenmesi ve yükümlü kuruluşların sorumluluğu bakımından oluşturulan risk tedavi planında her bir risk için şu bilgilere yer verilecektir:

*Risk ile ilgili kısa açıklama,

*Riski azaltmak için uygulanacak kontrol(ler),

*Uygulanması planlanan kontrollerle ilgili aktiviteler,

*Kontrolün uygulanması ile ilgili zaman sınırı.

 

Yükümlü kuruluşun yapmakla görevli olduğu sorumluluklarının kapsamı ise Yönetmelik ile şu şekilde belirlenmiştir:

*Kurum tarafından belirlenen riskler ile kendi belirlediği risklerin yılda bir kez değerlendirilmesini sağlar,

*Risk tedavi planını risk değerlendirme akabinde hazırlar ve altı ayda bir risk tedavi planının güncellenmesini içeren çalışmanın yapılmasını sağlar,

*Riskleri azaltmak için, Kurul tarafından belirlenen enerji sektöründe EKS güvenlik kontrolleri arasından ilgili kontrolleri seçebilir veya ulusal/uluslararası standartlardan, dünyadaki en iyi uygulamalardan ve kendisinin belirleyeceği özel önlemleri uygular,

*Risklerin gerçekleşme olasılığına göre önceliklendirilmesini ve yüksek dereceli risklerin öncelikle tedavi edilmesini sağlar,

*İnsan kaynağı ve maddi kaynak sağlayarak risk tedavi planını uygular,

 

EKS envanterinde veya ağ topolojisinde önemli değişikliklerin gerçekleşmesi ile sunucularda meydana gelen kesinti/yetkisiz erişim vb. olayların ardından ilişkili risk değerlendirmesini dolayısıyla risk tedavi planı ve önlemlerin gözden geçirilmesini, gerekiyorsa ilave önlemlerin alınmasını sağlar.